La sécurité des lecteurs d’empreintes digitales sur les ordinateurs portables Windows : mythe ou réalité ?
L’accès à un ordinateur portable Windows via un lecteur d’empreintes digitales est généralement perçu comme un processus simple et rapide. Il suffit de poser son doigt sur le capteur pour que le système d’exploitation autorise l’accès. Cependant, des recherches récentes ont mis en lumière des vulnérabilités potentielles, suggérant que cette méthode, bien que pratique, n’est pas infaillible contre les tentatives de piratage.
Alors, comment des individus peuvent-ils potentiellement contourner l’authentification par empreinte digitale de Windows Hello et faut-il s’en inquiéter ?
Les lecteurs d’empreintes digitales Windows Hello sont-ils vraiment inviolables ?
Lorsqu’un pirate informatique cherche à forcer l’accès à un ordinateur Windows protégé par un lecteur d’empreintes digitales, son objectif est de contourner le service Windows Hello. Ce service est le pilier central de la gestion de l’authentification, englobant diverses méthodes de connexion telles que les codes PIN, la reconnaissance faciale et les lecteurs d’empreintes digitales.
Dans le cadre d’une étude approfondie sur la sécurité de Windows Hello, deux chercheurs en sécurité, Jesse D’Aguanno et Timo Teräs, ont publié leurs conclusions sur leur site web : Black Wing HQ. Leur rapport détaille les méthodes qu’ils ont utilisées pour compromettre trois appareils populaires : le Dell Inspiron 15, le Lenovo ThinkPad T14 et le Microsoft Surface Pro Type Cover.
Comment les chercheurs ont-ils piraté Windows Hello sur le Dell Inspiron 15 ?
Dans le cas du Dell Inspiron 15, les chercheurs ont découvert qu’il était possible de démarrer l’ordinateur sous Linux. Une fois sous Linux, ils ont pu enregistrer leurs propres empreintes digitales dans le système, en leur attribuant le même identifiant que l’utilisateur Windows cible.
Par la suite, ils ont réalisé une attaque de l’homme du milieu lors de la communication entre l’ordinateur et le capteur d’empreintes digitales. Ils ont modifié le processus de telle sorte que lorsque Windows vérifiait l’authenticité de l’empreinte digitale numérisée, il interrogeait la base de données Linux au lieu de la sienne.
Pour contourner Windows Hello, les chercheurs ont donc transféré leurs empreintes digitales vers la base de données Linux, en leur attribuant l’identifiant de l’utilisateur cible. Lors de la tentative de connexion à Windows avec leurs propres empreintes digitales, le paquet d’authentification était redirigé vers la base de données Linux, qui confirmait l’authentification de l’utilisateur, permettant ainsi l’accès.
Comment les chercheurs ont-ils piraté Windows Hello sur le Lenovo ThinkPad T14 ?
Pour le Lenovo ThinkPad, les chercheurs ont constaté que l’ordinateur portable utilisait une méthode de chiffrement personnalisée pour la vérification des empreintes digitales. Après quelques efforts, ils ont réussi à déchiffrer cette méthode, ce qui leur a permis d’accéder au processus de vérification.
Une fois cette barrière franchie, ils ont pu forcer la base de données d’empreintes digitales à reconnaître leur empreinte digitale comme celle de l’utilisateur légitime. Il leur suffisait alors de scanner leur propre empreinte digitale pour accéder au Lenovo ThinkPad.
Comment les chercheurs ont-ils piraté Windows Hello sur le Microsoft Surface Pro Type Cover ?
Les chercheurs pensaient que la Surface Pro serait l’appareil le plus difficile à compromettre, mais ils ont été surpris de constater que cet appareil manquait de mesures de sécurité suffisantes pour vérifier la validité des empreintes digitales. Ils ont découvert qu’il suffisait de contourner une seule défense, puis de signaler à la Surface Pro que l’analyse d’empreinte digitale avait réussi, permettant ainsi l’accès.
Quelles sont les implications de ces découvertes pour les utilisateurs ?
Ces révélations peuvent sembler alarmantes si vous vous reposez sur les empreintes digitales pour accéder à votre ordinateur portable. Cependant, il est crucial de prendre en compte plusieurs facteurs avant de renoncer complètement à cette méthode d’authentification.
1. Ces attaques nécessitent des compétences techniques avancées.
La dangerosité des menaces telles que les rançongiciels est due à leur accessibilité. Cependant, les méthodes de piratage décrites ici nécessitent une expertise pointue, ainsi qu’une compréhension profonde du fonctionnement de l’authentification par empreinte digitale et des moyens de la contourner.
2. Les attaques nécessitent une interaction physique avec l’appareil.
Les pirates doivent avoir un accès physique à l’appareil pour effectuer ces attaques. Dans leur rapport, les chercheurs mentionnent la possibilité de créer des périphériques USB capables de réaliser ces attaques une fois branchés, mais cela signifie qu’un attaquant potentiel doit avoir l’opportunité de connecter un dispositif à votre ordinateur.
3. Les attaques sont spécifiques à certains appareils.
Il est important de noter que chaque attaque a nécessité une approche différente pour atteindre le même objectif. Chaque appareil a ses spécificités, et une technique fonctionnant sur un modèle peut ne pas être applicable à un autre. Par conséquent, ces découvertes ne signifient pas que Windows Hello est désormais compromis sur tous les appareils ; seuls ces trois modèles ont été identifiés comme vulnérables.
Bien que ces piratages puissent sembler préoccupants, il serait difficile de les réaliser sur des cibles réelles. Un pirate devrait potentiellement voler l’appareil pour exécuter ces piratages, ce qui alerterait inévitablement le propriétaire.
Comment se protéger du piratage par empreinte digitale ?
Comme mentionné précédemment, ces méthodes de piratage sont complexes et nécessitent potentiellement le retrait physique de l’appareil pour être exécutées. Par conséquent, il est peu probable que vous soyez la cible de telles attaques.
Cependant, si vous êtes toujours inquiet, plusieurs mesures peuvent être prises pour renforcer la sécurité de votre authentification par empreinte digitale :
1. Ne laissez pas vos appareils sans surveillance et sans protection.
Puisqu’un pirate doit interagir physiquement avec votre appareil, assurez-vous qu’il ne tombe pas entre de mauvaises mains. Pour les ordinateurs, mettez en place des mesures pour éviter le vol. Si vous utilisez un ordinateur portable, ne le laissez jamais sans surveillance dans un espace public et utilisez un sac antivol.
2. Choisissez une autre méthode de connexion.
Windows Hello offre plusieurs méthodes de connexion, dont certaines sont plus sécurisées que d’autres. Si l’authentification par empreinte digitale ne vous convient plus, explorez d’autres options telles que la reconnaissance faciale, l’analyse de l’iris, les codes PIN ou les mots de passe, et optez pour la solution la plus adaptée à vos besoins.